7
私はこの質問が主観的であることを認識しています。SSH:ログインすると、パスワードはプレーンテキストかスニッフィング可能ですか?
私は、SSHトンネルが作成されたときにSSHパスワードの明瞭度について不思議です。パスワードが認証されると、セキュリティで保護されたセッションが開始されるのですか?または、この安全な接続にカプセル化されたパスワード自体ですか?
今朝のオフィスでの面白い議論と、キーロガーを使用しているクライアントでSSHパスワードが侵害される可能性を除いて、SSHパスワードがパケットスニッフィングを使用して侵害される可能性について興味がありますLAN上のツール、またはクライアントとサーバー間の任意のプロキシにインストールすることができます。 SSHトンネルを介してプライベートサービス(ホームNASや電子メールなど)にログインする際に、いくつかの中間プロキシの背後で動作するクライアントにログオンするという賢明さについて、より広い議論が開かれています。 (すなわち、職場で)、特にEttercapのようなツールがSSHパケットにスパイすることができるという主張がある。
ウェブサイトがパスワードをMD5などの一方向ハッシュに解析しないSSL/HTTPSについても同様の考慮事項があると思いますか?
あなたの想いが最も高く評価されます。
ありがとうございました。 opensshのmanページから
これはプログラミングに関する質問ではありません。 – Raoul
HTTPSに関しても同様の質問があります:http://stackoverflow.com/questions/3911906/encrypting-http-post-data/3923617#3923617 and http://stackoverflow.com/questions/3837989/sending-sensitive-data -as-a-query-string-parameter/3840144#3840144。要求全体がSSL/TLS(要求パス、ヘッダー、本文を含む)を介して送信されます。パスワードの送信は、(フォームまたはHTTP Basicを介して)明示的に送信された場合でも保護されます。 – Bruno
私はちょうど言ったことを明確にする必要があります: "パスワードの送信は、たとえパスワードがアプリケーション層で暗号化されていなくても、エンコーディング、およびフォームに入力されたパスワードは、フォームデータ内でそのまま送信されます)。実際にはSSL/TLS(すべての暗号スイートが使用されている場合は通常どおり)で実行されるため、実際には明確には送信されません。 – Bruno